H3C MSR系列路由器IPsec典型配置举例(V7)

H3C配置IPSEC教程实例介绍

作为不同网络之间互相连接的枢纽，路由器系统构成了基于TCP/IP 的国际互联网络Internet 的主体脉络，也可以说，路由器构成了Internet的骨架。这篇文章主要介绍了H3C配置IPSEC VPN教程实例(图文),需要的朋友可以参考下

方法步骤

H3C配置IPSEC VPN思路跟思科差不多，无非就是命令不一样的，下面就演示一下

拓扑：

RT1背后有个1.1.1.1网段，RT3背后有个3.3.3.3网段，ISP没有这两条路由

RT2:

system-view

System View: return to User View with Ctrl+Z.

[RT2]int g0/0/0

[RT2-GigabitEthernet0/0/0]ip add 12.1.1.2 24

[RT2-GigabitEthernet0/0/0]quit

[RT2]int g0/0/1

[RT2-GigabitEthernet0/0/1]ip add 23.1.1.2 24

[RT2-GigabitEthernet0/0/1]quit

RT1:

acl number 3000

rule 0 permit ip source 1.1.1.0 0.0.0.255 destination 3.3.3.0 0.0.0.255

ike proposal 1

encryption-algorithm 3des-cbc

authentication-algorithm md5

authentication-metod pre-share

7 相关资料

1 简介

本文档介绍IPsec的典型配置举例。

2 配置前提

本文档适用于使用Comware V7软件版本的MSR系列路由器，如果使用过程中与产品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解IPsec特性。

3 使用iNode客户端基于证书认证的L2TP over IPsec功能配置举例

3.1 组网需求

如图1所示，PPP用户Host与Device建立L2TP隧道，Windows server 2003作为CA服务器，要求：

•通过L2TP隧道访问Corporate network。

•用IPsec对L2TP隧道进行数据加密。

•采用RSA证书认证方式建立IPsec隧道。

图1 基于证书认证的L2TP over IPsec配置组网图

3.2 配置思路

由于使用证书认证方式建立IPsec隧道，所以需要在ike profile中配置local-identity 为dn，指定从本端证书中的主题字段取得本端身份。

3.3 使用版本

本举例是在R0106版本上进行配置和验证的。

3.4 配置步骤

3.4.1 Device的配置

(1) 配置各接口IP地址

# 配置接口GigabitEthernet2/0/1的IP地址。

<Device> system-view

[Device] interface gigabitethernet 2/0/1

H3CMSR路由器IKEDPD功能的配置

H3C MSR路由器 IKE DPD功能的配置

⼀、组⽹需求：

Center和Branch建⽴IPSec连接，Center和Branch都配置DPD，并在Center 上进⾏验证设备清单：MSR系列路由器2台

⼆、组⽹图：

三、配置步骤：

适⽤设备和版本：MSR系列、Version 5.20, Beta 1202后所有版本。

四、配置关键点：

1) DPD实验不要采⽤2台设备直连⽅式，在这种⽅式下把⽹线，链路层Down，不会有路由，所以⽤于触发IPSec的包不会发送到接⼝，因⽽也不能触发任何IPSec模块。

2) DPD并不是⾃始⾄终地周期性发送，⽽是通过空闲定时器机制，在每接收到⼀个IPSec加密的包后就重置这个包对应IKE SA的空闲定时器，如果空闲定时器计时开始到计时结束过程都没有接收到该SA对应的加密包，那么下⼀次有IP 包要被这个SA加密发送或接收到加密包之前就需要使⽤DPD来检测对⽅是否存活。

3) DPD检测主要靠超时计时器，超时计时器⽤于判断是否再次发起请求，⼀般来说连续发出3次请求（请求->超时->请求->超时->请求->超时）都没有收到任何DPD应答就应该删除SA，后续如需继续发送加密数据包就需要重新协商SA，如果此时收到加密数据包表明是原来SA的会通知对端重新协商SA。

H3C-MSR路由器配置

路由器作为网络中的重要设备之一，扮演着连接不同网络、实现数

据转发的关键角色。H3C-MSR路由器作为一款功能强大、性能稳定的

产品，被广泛应用于各种规模的网络中。为了使H3C-MSR路由器能够正常工作并满足网络需求，正确的配置是至关重要的。本文将详细介

绍H3C-MSR路由器的配置方法，帮助用户快速上手。

一、基本配置

1. 连接路由器

首先，使用网线将H3C-MSR路由器的Console接口与计算机的串

口相连。然后，使用串口终端工具，如SecureCRT等，通过串口连接

到路由器。打开终端工具后，选择正确的串口号和波特率，确保与路

由器连接成功。

2. 登录路由器

成功连接到路由器后，输入登录用户名和密码，即可登录路由器的

命令行界面。默认的用户名为admin，密码为空。为了提高安全性，建议用户在首次登录后立即修改密码。

3. 设定主机名

在路由器命令行界面下，通过以下命令来为路由器设定一个主机名：configure terminal

hostname <主机名>

exit

二、接口配置

1. 配置接口IP地址

为了使路由器能够与其他设备进行通信，需要为其配置IP地址。假设要为接口GigabitEthernet 0/0/1配置IP地址为192.168.1.1，子网掩码为255.255.255.0，可以在命令行界面下执行以下命令：interface GigabitEthernet 0/0/1

ip address 192.168.1.1 255.255.255.0

2. 配置接口描述

MSR系列路由器

L2TP OVER IPSEC功能配置

关键字：MSR;L2TP;IPsec;VPN

一、组网需求：

移动用户通过L2TP客户端软件接入LNS以访问总部内网，在PC和LNS之间交互的数据通过IPsec加密后传输。

设备清单：MSR系列路由器1台

PC 1台

二、组网图：

PC的配置如下：

在PC端，采用SECPOINT拨号软件，因此首先需要按照SECPOINT软件，然后再进行拨号连接。在此假设已经按照此软件，接下来的配置如下：

第一步、创建一个连接，输入LNS地址10.1.1.1,如下：

第二步、设置Pre-share-key为123

第三步、输入VPN的名字“l2tp”，单击完成

第四步、双击刚创建好的连接“l2tp”，设置VPN连接属性，单击高级

第五步、选择IKE设置栏，设置野蛮模式，名字认证方式，并输入本端安全网关名字“pc”和对端安全网关设备名字“lns”。注意要与LNS侧配置一致。点击确定，此时就已经配置好PC，双击连接“l2tp”，输入用户名usera和密码usera，就可以连入LNS，访问内网了。

四、配置关键点：

1）

2）L2TP的认证最好采用域方式认证

3）IPsec协商方式采用野蛮方式，采用名字识别4）在接口里应用IPsec Policy

5）PC侧的配置要与LNS上的配置一致

1. 组网需求

如图1-10所示，AC旁挂在Switch上，Switch同时作为DHCP server为AP和Client 分配IP地址。通过配置客户端在链路层使用WEP密钥12345接入无线网络。

2. 组网图

图1-1 共享密钥认证配置组网图

3. 配置步骤

(1)创建无线服务模板

# 创建无线服务模板service1。

<AC> system-view

[AC] wlan service-template service1

# 配置无线服务的SSID为service。

[AC-wlan-st-service1] ssid service

(2)配置WEP并使能无线服务模板

# 配置使用WEP40加密套件，配置密钥索引为2，使用明文的字符串12345作为共享密钥。

[AC-wlan-st-service1] cipher-suite wep40

[AC-wlan-st-service1] wep key 2 wep40 pass-phrase simple 12345

[AC-wlan-st-service1] wep key-id 2

# 使能无线服务模板。

[AC-wlan-st-service1] service-template enable

[AC-wlan-st-service1] quit

(3)将无线服务模板绑定到radio1上

# 创建手工AP，名称为ap1，并配置序列号。

[AC] wlan ap ap1 model WA4320i-ACN

[AC-wlan-ap-ap1] serial-id 219801A0CNC138011454

H3C MSR20系列路由器IPSEC VPN设置方法

H3C MSR20系列路由器 IPSEC VPN 设置一例（对端除IKE名称、ACL数据流向不同外其他一致），本端ADSL接入方式，对端固定IP接入

version 5.20, Release 2207P02, Basic

#

sysname testvpn

＃

ike local—name testvp

n

ike sa keepalive-timer timeout 28800

＃

domain default enable system

#

telnet server enable

＃

dar p2p signature—file cfa0：/p2p_default.mtd

#

port—security enable

#

acl number 3001 name nat

rule 0 deny ip source 192。168.2。0 0。0.0。255 destinati on 192.168。0.0 0。0.0。255 （对端VPN设置两个IP地址

段对调)

rule 20 permit ip source 192.168。2.94 0 允许内网na t 的地址（可上网的ip）

rule 30 permit ip source 192。168。2。80 0

acl number 3026

rule 0 permit ip source 192.168.2.0 0.0.0。255 destinatio n 192.168.0。0 0.0.0。255 定义VPN隧道数据流向(对端VPN 设置两个IP地址段对调）

7 相关资料

1 简介

本文档介绍IPsec的典型配置举例。

2 配置前提

本文档适用于使用Comware V7软件版本的MSR系列路由器，如果使用过程中与产品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解IPsec特性。

3 使用iNode客户端基于证书认证的L2TP over IPsec功能配置举例

3.1 组网需求

如图1所示，PPP用户Host与Device建立L2TP隧道，Windows server 2003作为CA服务器，要求：

•通过L2TP隧道访问Corporate network。

•用IPsec对L2TP隧道进行数据加密。

•采用RSA证书认证方式建立IPsec隧道。

图1 基于证书认证的L2TP over IPsec配置组网图

3.2 配置思路

由于使用证书认证方式建立IPsec隧道，所以需要在ike profile中配置local-identity 为dn，指定从本端证书中的主题字段取得本端身份。

3.3 使用版本

本举例是在R0106版本上进行配置和验证的。

3.4 配置步骤

3.4.1 Device的配置

(1) 配置各接口IP地址

# 配置接口GigabitEthernet2/0/1的IP地址。

system-view

[Device] interface gigabitethernet 2/0/1

H3C MSR系列路由器作为TFTP client升级版本的典型配置举例(V7)

Copyright © 2014 杭州华三通信技术有限公司版权所有，保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，

并不得以任何形式传播。本文档中的信息可能变动，恕不另行通知。

目录

1 简介 (1)

2 配置前提 (1)

3 配置举例 (1)

3.1 组网需求 (1)

3.2 配置思路 (1)

3.3 使用版本 (1)

3.4 配置注意事项 (1)

3.5 配置步骤 (2)

3.5.1 Host的配置 (2)

3.5.2 Router的配置 (2)

3.6 验证配置 (4)

3.7 配置文件 (5)

4 相关资料 (5)

1 简介

本文档介绍使用TFTP方式升级集中式路由器软件版本的典型配置举例。

2 配置前提

本文档适用于使用Comware V7软件版本的MSR系列路由器，如果使用过程中与产品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解TFTP的特性。

3 配置举例

3.1 组网需求

如图1所示，Host连接Router的GigabitEthernet0/0接口，Router作为TFTP客户端，Host作为TFTP 服务器。

现要求：通过TFTP方式为Router升级软件版本。

图1配置组网图

3.2 配置思路

MSR路由器与ER野蛮IPSEC VPN穿越NAT的案例一、组网需求：

总部使用H3C MSR30，分支使用H3C ER3260，ER3260上端运营商网络过了一个NAT设备，要实现分支与总部建立IPSEC VPN。

二、组网图

1、ER3200配置：

（1）接口IP地址配置

（2）VPN配置

（3）添加静态路由

2、运营商配置

3、MSR30配置：（1）接口IP配置

（2）VPN配置

（3）添加静态路由

从ER3200侧，ping192.168.0.1触发，VPN建立。

实验过程中遇到的问题：

MSR设备创建VPN时，筛选方式为网络地址和通配符掩码，不是子网掩码！

v7防火墙和v7防火墙ipsec对接-野蛮模式

功能需求：

防火墙A和防火墙B之间建立一个ipsec隧道，对Host A所在的子网（192.168.7.1）与Host B所在的子网（192.168.5.1）之间的数据流进行安全保护。

·防火墙A和防火墙B之间采用IKE协商方式建立IPsec SA。

·使用IKE野蛮模式进行协商，防火墙A作为分部，防火墙B作为总部。

·使用缺省的预共享密钥认证方法。此案例适用于：分部ip不固定，总部公网ip固定，中间经过nat或者不经过nat的组网。

组网信息及描述：

本案例中，以防火墙A（拨号的）的loopback0口代表A设备的内网hostA，以防火墙B（固定ip的）的loopback0口代表B设备的内网hostB，A设备的G1/0/1作为连接外网的接口，ip：2.2.2.1.B设备的G1/0/1口作为连接外网的接口，ip：1.1.1.1。loopback口代表各自的内网。防火墙A能ping的通防火墙B的公网ip。2.2.2.1去往1.1.1.1的公网路由中间经过了nat设备,对源2.2.2.1的转换成了1.1.1.2。

配置步骤：

防火墙A

配置接口的ip，路由，安全域等基本配置

定义要保护由子网192.168.7.0/24去往子网192.168.5.0/24的数据流。

acl advanced 3001

rule 5 permit ip source 192.168.7.0 0.0.0.255 destination 192.168.5.0 0.0.0.255

配置nat 转换的流，拒绝ipsec保护的流

目录

1 IPsec VPN配置..................................................................................................................................1-1

1.1 IPsec简介..........................................................................................................................................1-1

1.1.1 IPsec的协议实现.....................................................................................................................1-1

1.1.2 IPsec基本概念........................................................................................................................1-2

1.1.3 协议规范.................................................................................................................................1-4

1. 组网需求

如图1-10所示，AC旁挂在Switch上，Switch同时作为DHCP server为AP和Client 分配IP地址。通过配置客户端在链路层使用WEP密钥12345接入无线网络。

2. 组网图

图1-1 共享密钥认证配置组网图

3. 配置步骤

(1)创建无线服务模板

# 创建无线服务模板service1。

system-view

[AC] wlan service-template service1

# 配置无线服务的SSID为service。

[AC-wlan-st-service1] ssid service

(2)配置WEP并使能无线服务模板

# 配置使用WEP40加密套件，配置密钥索引为2，使用明文的字符串12345作为共享密钥。

[AC-wlan-st-service1] cipher-suite wep40

[AC-wlan-st-service1] wep key 2 wep40 pass-phrase simple 12345

[AC-wlan-st-service1] wep key-id 2

# 使能无线服务模板。

[AC-wlan-st-service1] service-template enable

[AC-wlan-st-service1] quit

(3)将无线服务模板绑定到radio1上

# 创建手工AP，名称为ap1，并配置序列号。

[AC] wlan ap ap1 model WA4320i-ACN

[AC-wlan-ap-ap1] serial-id 219801A0CNC138011454

MSR路由器PPPoE配置示例

1.配置示例图：

2.PPPoE-Server配置：

<PPPoE-Server>display current-configuration

#

version 7.1.075, Alpha 7571

#

sysname PPPoE-Server

#

ip pool pppoe 121.48.47.2 121.48.47.6 //为PPPoE客户端分配IP地址

#

dhcp enable

#

interface Virtual-Template1

ppp authentication-mode pap domain system //客户端的验证方式

remote address pool pppoe //指定为远端（PPPoE客户端）分配IP地址

ip address 121.48.47.1 255.255.255.248

dns server 8.8.8.8 //为对端分配DNS地址

#

interface NULL0

#

interface GigabitEthernet0/0

port link-mode route

combo enable copper

pppoe-server bind virtual-template 1 //应用到接口并绑定虚拟木模板1 #

domain system

authentication ppp local //PPPoE认证方式为本地址认证

#

local-user pppoe class network //创建用于PPPoE认证的本地用户

password cipher pppoe

H3C MSR路由器H3C MSR路由器配置指南

1：简介

1.1 概述

1.2 适用范围

1.3 功能特点

2：系统配置

2.1 系统设置

2.1.1 设备基本信息配置

2.1.2 系统时间配置

2.1.3 系统安全配置

2.2 路由器接口配置

2.2.1 接口启用与禁用

2.2.2 IP地址配置

2.2.3 VLAN配置

2.3 高可用性配置

2.3.1 系统冗余配置

2.3.2 VRRP配置

2.3.3 BFD配置

3：路由配置

3.1 静态路由配置

3.2 动态路由配置

3.2.1 OSPF配置

3.2.2 BGP配置

3.3 路由策略配置

3.3.1 路由策略的基本概念

3.3.2 路由策略示例

4：安全配置

4.1 访问控制列表（ACL）配置

4.2 防火墙配置

4.2.1 包过滤防火墙配置

4.2.2 应用层网关（ALG）配置 4.2.3 安全策略配置

4.3 用户认证配置

4.3.1 本地用户认证

4.3.2 远程服务器认证5： QoS配置

5.1 QoS基础知识

5.2 QoS策略配置

5.2.1 可配置的QoS策略 5.2.2 QoS策略示例

6：网络管理配置

6.1 网络管理协议配置

6.1.1 SNMP配置

6.1.2 Telnet和SSH配置 6.2 系统日志配置

6.2.1 日志级别配置

6.2.2 日志服务器配置

6.3 网络服务配置

6.3.1 DHCP配置

6.3.2 NAT配置

7：附件

本文档附带以下附件：

- 示例配置文件

- 路由器配置示意图

8：法律名词及注释

- ACL: 访问控制列表，用于限制网络访问

- OSPF: 开放最短路径优先，一种动态路由协议